Прапановы ў крыптаграфіі дапамагаюць супольнасцям прымаць рашэнні на аснове кансенсусу. Аднак для дэцэнтралізаванай музычнай платформы Auduis прыняцце шкоднаснай прапановы па кіраванні прывяло да перадачы токенаў на суму 5.9 мільёна долараў, прычым хакер пазбавіўся 1 мільёна долараў.
24 ліпеня зламысная прапанова (Прапанова No85) запыт на перадачу 18 мільёнаў уласных токенаў Audius AUDIO быў ухвалены галасаваннем супольнасці. Упершыню на Crypto Twitter адзначыў @spreekaway, зламыснік створаны шкоднасная прапанова, у якой яны «маглі выклікаць initialize() і прызначыць сябе адзіным захавальнікам кантракта на кіраванне».
Прывітанне ўсім - наша каманда ведае аб паведамленнях аб несанкцыянаванай перадачы токенаў AUDIO з казны супольнасці. Мы актыўна расследуем і паведамім, як толькі даведаемся больш.
Калі вы хочаце дапамагчы нашай групе рэагавання, звярніцеся.
— Audius (@AudiusProject) Ліпеня 24, 2022
Далейшае расследаванне Auduis пацвердзіла несанкцыянаваную перадачу токенаў AUDIO з казны кампаніі. Пасля адкрыцця Auduis актыўна спыніў усе смарт-кантракты Audius і токены AUDIO на блокчейне Ethereum.
Даследчык блокчейна Пекшылд звузіў прычыну неадпаведнасці размяшчэння сховішча Audius.
Пытанне @AudiusProject заключаецца ў супярэчлівай кампаноўцы захоўвання паміж яго проксі і імпл. У прыватнасці, сутыкненне кантракта Audius Community Treasury прыводзіць да эквівалентнасці адключэння мадыфікатара ініцыялізацыі. Адрас proxyAdmin (0x..abac) адыгрывае тут пэўную ролю. pic.twitter.com/x4CqRncahp
- PeckShield Inc. (@peckshield) Ліпеня 24, 2022
Нягледзячы на тое, што прапанова хакера аб кіраванні вычарпала з казны 18 мільёнаў токенаў на суму амаль 6 мільёнаў долараў, неўзабаве яна была скінута і прададзена за 1.08 мільёна долараў. У той час як дэмпінг прывёў да максімальнага праслізгвання, інвестары рэкамендавалі неадкладны выкуп, каб прадухіліць дэмпінг існуючых інвестараў і далейшае зніжэнне мінімальнай цаны токена.
Інвестары яшчэ не атрымалі яснасці наконт скрадзеных сродкаў, бо адзін інвестар спытаў: «Яны ўзламалі грамадскі фонд, праўда? Фонд каманды асобны, праўда?»
Пакуль вядзецца пасмяротнае даследаванне, Audius пакуль не адказаў на запыт Cointelegraph аб каментарыі.
Па тэме: Yuga Labs папярэджвае аб «пастаяннай групе пагроз», накіраванай на ўладальнікаў NFT
Стваральнік Bored Ape Yacht Club (BAYC) Yuga Labs выступіў з другім папярэджаннем аб чаканай «скаардынаванай атацы» на свае акаўнты ў сацыяльных сетках.
Наша каманда бяспекі адсочвае ўстойлівую групу пагроз, якая накіравана на супольнасць NFT. Мы лічым, што неўзабаве яны могуць пачаць скаардынаваную атаку, накіраваную на некалькі суполак праз узламаныя акаўнты ў сацыяльных сетках. Калі ласка, будзьце пільнымі і захоўвайце бяспеку.
— Yuga Labs (@yugalabs) Ліпеня 18, 2022
У чэрвені Гордан Гонер, псеўданімны сузаснавальнік Yuga Labs, вынес першае папярэджанне магчымай уваходнай атакі на яго акаўнты ў сацыяльных сетках Twitter. Неўзабаве пасля папярэджання прадстаўнікі Twitter актыўна сачылі за ўліковымі запісамі і ўзмацнілі існуючую бяспеку.
Крыніца: https://cointelegraph.com/news/hacker-drains-1-08m-from-audius-following-passing-of-malicious-proposal